Adatmérgezés Megelőzése: Útmutató a tanító adathalmazok integritásának védelméhez

2025.10.17.
AI Biztonság Blog

Adatmérgezés: Hogyan védd ki a láthatatlan támadást, ami tönkreteszi az AI modelledet?

Képzeld el, hogy egy Michelin-csillagos séf vagy. Éveken át tökéletesítetted a receptjeidet, a legkiválóbb alapanyagokat kutatod fel, a konyhád patyolattiszta. A vendégek imádják, amit csinálsz. Aztán egy nap, valaki – egy sértődött ex-alkalmazott, egy konkurens étterem szabotőrje – elkezd mikroszkopikus mennyiségű, íztelen mérget csempészni a liszteszsákba. Nem annyit, hogy bárki rosszul legyen. Épp csak annyit, hogy az étel íze… furcsa legyen. A kenyér nem kel meg rendesen, a szószok állaga nem az igazi. A vendégek lassan elpártolnak, te pedig a fejedet vakarod, hogy mi romlott el.

Na, pontosan ez az adatmérgezés (data poisoning) a mesterséges intelligencia világában. És a te drága, gondosan felépített modelled a Michelin-csillagos étterem, a tanító adathalmazod pedig a kamra. Feltetted már magadnak a kérdést: mennyire bízol a lisztben?

Kapcsolati űrlap

AI Biztonság kérdésed van? Itt elérsz minket:

Mi a fene az az adatmérgezés, és miért kellene, hogy érdekeljen?

Felejtsük el a bonyolult definíciókat. Az adatmérgezés egy olyan támadási forma, ahol a támadó szándékosan manipulatív, hibás vagy rosszindulatú adatokat juttat be a gépi tanulási modelled tanító adathalmazába. A cél? Hogy a modelled megtanulja a rossz leckét. Hogy megbízhatatlanná, használhatatlanná, vagy – és ez a legrosszabb – egy rejtett, időzített bombává váljon.

Ez nem egy elméleti, sci-fibe illő probléma. Ez a valóság. Amikor egy modell több millió, vagy akár milliárd adatpontból tanul, ki a fene tudja garantálni, hogy minden egyes bit és bájt tiszta?

Az adatmérgezés nem egy frontális támadás. Ez a trójai faló az adathalmazodban. Kívülről hasznos adatnak tűnik, de belül ott lapul a rombolás kódja.

Gondolj a tanítási folyamatra, mint egy gyerek nevelésére. Ha folyamatosan azt sulykolod a gyerekbe, hogy a piros lámpa azt jelenti, „menj”, a zöld pedig azt, hogy „állj”, akkor előbb-utóbb óriási baj lesz belőle, amikor először egyedül megy át az úton. Az AI modell ugyanilyen „naiv”. Azt hiszi el, amit mutatsz neki. Ha szemetet mutatsz, szemetet fog tanulni. Csak éppen fegyverként használható szemetet.

Normál Tanítási Folyamat Tiszta Adathalmaz ML Modell Megbízható Eredmény Adatmérgezési Támadás Mérgezett Adathalmaz Korrupt Modell Manipulált Eredmény

A méreg anatómiája: Nem mindegy, hogy késsel vagy idegméreggel támadnak

Az adatmérgezés nem egyetlen monolitikus dolog. Különböző ízekben és erősségekben létezik, mint a chili paprikák. A védekezéshez pedig tudnod kell, mivel állsz szemben. Két fő tengely mentén szoktuk őket kategorizálni: a cél és a hatás szerint.

Hatás szerint: Elérhetőség vs. Integritás

Ez a legegyszerűbb felosztás. A támadó mit akar elérni?

  • Elérhetőségi támadások (Availability Attacks): Ezek a bunkó, „mindent felégetek” típusú támadások. A cél egyszerű: a modell legyen használhatatlan. A támadó annyi zajos, értelmetlen adatot pumpál a rendszerbe, hogy a modell teljesítménye drasztikusan lecsökken. Képzelj el egy képfelismerő modellt, amit elárasztanak véletlenszerű pixelzajjal, „macska” címkével. A modell összezavarodik, és a végén már egy valódi macskát sem ismer fel. Ez a digitális „denial-of-service”, csak a tanulási fázisban. Látványos, de könnyebb észrevenni.
  • Integritási támadások (Integrity Attacks / Backdoor Attacks): Na, ez a sebészi pontosságú, alattomos gyilkos. Itt a cél nem a modell teljes lerombolása, hanem egy specifikus, rejtett viselkedés beültetése. A modell 99.9%-ban tökéletesen működik, de egy bizonyos, a támadó által definiált trigger hatására valami teljesen mást csinál. Ez a „backdoor”, a hátsó ajtó.

Például egy önvezető autó képfelismerő rendszerét úgy mérgezik meg, hogy minden közlekedési táblát tökéletesen felismer, kivéve, ha a STOP táblán van egy apró, sárga matrica. A matricás STOP táblát a modell „Sebességkorlátozás feloldása” táblának fogja értelmezni. Rémálom, ugye?

Cél szerint: Célzott vs. Célpont nélküli

A másik dimenzió, hogy a támadás mennyire specifikus.

  • Célpont nélküli (Indiscriminate) támadás: A támadó nem egy konkrét bemenetet vagy kimenetet céloz, hanem általánosan akarja rontani a modell teljesítményét. Ez gyakran átfed az elérhetőségi támadásokkal. A cél a káosz.
  • Célzott (Targeted) támadás: Itt a támadónak nagyon is konkrét célja van. Azt akarja, hogy egy bizonyos bemenet (pl. egy specifikus személy arca) egy bizonyos hamis kimenetet eredményezzen (pl. „nem jelent fenyegetést”). Vagy azt, hogy egy bizonyos típusú email (pl. egy hamis számla az ő bankszámlaszámával) mindig átjusson a spam szűrőn. Ezek a legveszélyesebbek, mert a legnehezebb őket észrevenni.
Célpont nélküli (Indiscriminate) Támadás A döntési határ drasztikusan eltolódik, az általános teljesítmény romlik. Eredeti határ Mérgezett határ Célzott (Targeted) Támadás A határ csak egy kis területen módosul, hogy a célpontot (lila) rosszul klasszifikálja. Eredeti határ Mérgezett határ

Hogy jobban átlásd, itt egy gyors táblázat:

Támadás Típusa Cél Analógia Példa
Elérhetőség + Célpont nélküli A modell általános teljesítményének lerombolása. Valaki homokot szór a motorba. Egy arcfelismerő rendszer tanító adatai közé több ezer véletlenszerű képet töltenek fel, hibás címkékkel.
Integritás + Célzott Egy specifikus, rejtett viselkedés beültetése. Egy alvó ügynök aktiválása egy kódszóval. Egy hitelbírálati modellbe olyan adatokat csempésznek, amik miatt a modell egy bizonyos irányítószámról érkező összes kérelmet automatikusan jóváhagyja, függetlenül a többi paramétertől.
Integritás + Célpont nélküli Általános, de specifikus torzítás bevezetése. A GPS finomhangolása, hogy minden út 2%-kal jobbra térjen el. Egy toxikus kommenteket szűrő modellbe olyan adatokat juttatnak, amik miatt a modell egy bizonyos politikai nézetet képviselő kommenteket gyakrabban jelöl meg toxikusként.

A vektorok: Hogyan jut be a méreg a rendszerbe?

Oké, értjük a veszélyt. De hol vannak a kapuk? Hol tud a támadó beavatkozni? A helyzet az, hogy a modern AI/ML fejlesztési ciklus tele van potenciális belépési pontokkal. Ugye te sem gondolod komolyan, hogy minden egyes adatpontot, amit felhasználsz, te magad generáltál és ellenőriztél?

1. Nyílt forráskódú és harmadik féltől származó adathalmazok

A legnyilvánvalóbb vektor. Letöltesz egy „kényelmes”, előre címkézett adathalmazt a netről, mert megspórolsz vele hónapokat. De ki garantálja annak a minőségét? A híres ImageNet adathalmazról is kiderült, hogy tele van hibás címkékkel és torzításokkal – és ezek még csak nem is szándékos támadások voltak. Most képzeld el, mi történik, ha valaki szándékosan helyez el benne pár ezer finoman manipulált adatpontot.

Ez olyan, mintha egy ismeretlen által az út szélén hagyott gombából főznél pörköltet. Lehet, hogy finom lesz. De lehet, hogy… nem.

2. Transfer Learning és előre tanított modellek

Senki nem tanít ma már egy nagy nyelvi modellt (LLM) a nulláról. Túl drága. Helyette fogunk egy már létező, óriási alapot (pl. egy BERT vagy GPT variánst) és finomhangoljuk a saját, specifikus adatainkkal. Ezt hívjuk transfer learning-nek.

De mi van, ha az az alapmodell, amit letöltöttél egy népszerű modell-megosztó oldalról, már eleve mérgezett? Lehet, hogy van benne egy backdoor, ami csak arra vár, hogy a te finomhangolásod után is megmaradjon. Ez egy ellátási lánc (supply chain) támadás az AI világában. Olyan, mintha vennél egy előre megépített házat, aminek az alapjába valaki már bebetonozott egy poloskát.

3. Federated Learning és elosztott rendszerek

A federated learning egy zseniális koncepció: a modell nem egy központi szerveren tanul, hanem a felhasználók eszközein (pl. a telefonodon), a helyi adatokból. Csak a tanult „súlyokat” (a tudás esszenciáját) küldik vissza a központba, az adat maga sosem hagyja el az eszközt. Szuper a privacy szempontjából, igaz?

Viszont biztonsági szempontból egy rémálom. A támadónak elég kompromittálnia néhány ezer eszközt a sok millióból, és máris lehetősége van arra, hogy manipulált, mérgező súlyokat küldjön vissza a központi modellbe. Mivel minden decentralizált, sokkal nehezebb kiszűrni a rosszindulatú frissítéseket. Ez a közlegelők tragédiája: mindenki hozzátesz a közös tudáshoz, de valaki titokban gyomot ültet.

4. Folyamatosan frissülő adatok (Web Scraping, User-Generated Content)

A modelled a legfrissebb adatokból tanul, hogy naprakész maradjon? Szuper. De honnan jönnek azok az adatok? A webről scrape-eled őket? Közösségi médiából? Felhasználók által generált tartalomból? Ezek a legzajosabb, legkevésbé megbízható adatforrások.

Egy támadónak gyerekjáték weboldalakat, fórumokat, vagy termékértékeléseket létrehozni, amik tele vannak a mérgezett adataival, és csak arra várnak, hogy a te scrapered megtalálja és bekebelezze őket. Ha a modelled felhasználói visszajelzésekből tanul (reinforcement learning from human feedback – RLHF), akkor egy szervezett csoport simán tudja úgy manipulálni a visszajelzéseket, hogy a modellt egy bizonyos irányba tolja el.

A védekezés művészete: Egy többrétegű várvédelmi rendszer

Nincs egyetlen csodafegyver az adatmérgezés ellen. Nincs egy „poison_detection.dll”, amit beimportálsz és kész. A védekezés egy folyamatos, többrétegű stratégia, mint egy középkori vár védelme. Vannak vizesárkok, falak, bástyák és belső őrség. Ha az egyik rétegen átjut a támadó, a következő megfogja.

1. réteg: A kapuk őrzése (Input Sanitization & Validation)

Ez a legelső és legfontosabb védelmi vonal. Mielőtt bármilyen adat bekerülne a „szent” tanító adathalmazodba, át kell esnie egy szigorú ellenőrzésen. Ez a vizesárok.

  • Outlier Detection (Anomália detekció): Keress olyan adatpontokat, amik kilógnak a sorból! Ha a képeid 99%-a 1MB méretű, de hirtelen megjelenik egy 50MB-os, az gyanús. Ha a szöveges adataidban a mondatok átlagos hossza 15 szó, de találsz egy 300 szavas körmondatot, azt vizsgáld meg. Statisztikai módszerek (pl. Z-score, Isolation Forests) segíthetnek automatizálni ezt.
  • Forrás-megbízhatósági elemzés: Nem minden adatforrás egyenrangú. Súlyozd az adatokat a forrásuk megbízhatósága alapján. Egy általad kontrollált, belső adatbázisból származó adat sokkal megbízhatóbb, mint egy névtelen fórumról scrape-elt komment. Tarts nyilván minden adatpont eredetét (data provenance)!
  • Címke konzisztencia ellenőrzés: Ha több ember címkézi az adataidat, keress ellentmondásokat. Ha három címkéző azt mondja egy képre, hogy „kutya”, egy pedig azt, hogy „macska”, ott valami nem stimmel. Lehet, hogy csak emberi hiba, de lehet, hogy szándékos szabotázs.
1. Réteg: Input Sanitization (A kapuőr) Bejövő Adatfolyam Szűrő / Validátor (Outlier Detection, Forrás-ellenőrzés) Elfogadva Elutasítva / Megjelölve Tiszta Tanító Adathalmaz

2. réteg: A falak megerősítése (Training-Time Defenses)

Tegyük fel, a támadó elég rafinált volt, és néhány mérgezett adatpont átjutott az első védelmi vonalon. Most a tanítási folyamatot kell ellenállóbbá tennünk. Ezek a vastag falak.

  • Adversarial Training: Ez egy zseniális koncepció. Lényegében a modellt a saját maga ellen fordítod. A tanítás során szándékosan generálsz olyan „adversarial” példákat (olyan bemeneteket, amik a modellt a legkönnyebben verik át), és megmutatod neki a helyes választ. Ez olyan, mintha egy bokszolót nem csak zsákolásra, hanem egy profi sparring partner ellen is edzenél. A modell megtanulja a saját gyenge pontjait, és sokkal robusztusabbá válik a finom manipulációkkal szemben.
  • Differential Privacy: Ez egy matematikai garancia arra, hogy a modell kimenete nem függ túlságosan egyetlen konkrét adatponttól a tanító adathalmazban. A gyakorlatban ez úgy valósul meg, hogy egy kis, kontrollált „zajt” adnak a tanítási folyamathoz. Ez a zaj elég kicsi ahhoz, hogy a modell általános teljesítményét ne rontsa, de elég nagy ahhoz, hogy egyetlen mérgezett adatpont hatását „elnyomja”. Kicsit olyan, mint egy tömegben suttogni: ha elég nagy a háttérzaj, senki nem fogja meghallani az egyetlen hamis hangot.
  • Ensemble Methods & Bagging: Ne csak egy modellt taníts! Taníts több, kissé eltérő modellt az adathalmaz különböző részhalmazain (ezt hívják bagging-nak). A végső döntést pedig a modellek „szavazata” alapján hozd meg. Egyetlen mérgezett adatpont valószínűleg csak egy vagy két modellt fog tudni befolyásolni a sok közül, de a többség helyes döntése felülírja a hibásat. Ez a demokrácia ereje a gépi tanulásban.

3. réteg: Az őrtorony (Post-Training Monitoring & Auditing)

A modelled elkészült, élesben működik. A munka itt nem ér véget! Folyamatosan figyelni kell, mint egy őrnek a toronyból. Ez az utolsó védvonal, ami akkor is jelez, ha az előző kettőn valami átcsúszott.

  • Folyamatos teljesítménymonitoring: Kövesd nyomon a modell pontosságát, a téves pozitív/negatív arányokat és más releváns metrikákat. Ha hirtelen, megmagyarázhatatlan esést látsz a teljesítményben, az egy vörös zászló.
  • Concept Drift Detection: A világ változik, és vele együtt az adatok eloszlása is. A „concept drift” azt jelenti, hogy az éles környezetben látott adatok már nem hasonlítanak arra, amin a modellt tanítottad. A monitorozó rendszereknek jelezniük kell, ha ilyen elcsúszást észlelnek, mert ez nem csak a modell elavulását jelezheti, hanem egy támadás tünete is lehet.
  • Magyarázhatósági (Explainability) eszközök: Használj olyan eszközöket, mint a SHAP vagy a LIME, hogy megértsd, a modelled miért hoz egy adott döntést. Ha egy hitelkérelmet elutasít, ezek az eszközök megmutathatják, hogy mely bemeneti paraméterek (jövedelem, életkor, stb.) játszották a legnagyobb szerepet. Ha egy furcsa, megmagyarázhatatlan korrelációt találsz (pl. a modell mindig jóváhagyja a kérelmeket, ha a kérelmező utcanevében szerepel a „lila” szó), akkor jó eséllyel egy backdoor-ra bukkantál.

Gyakorlati esettanulmány: A „Kiméra” projekt megbuktatása

Hogy ne csak a levegőbe beszéljünk, nézzünk egy fiktív, de teljesen reális forgatókönyvet.

A Cég: „AutoNoma”, egy feltörekvő startup, ami önvezető rendszerekhez fejleszt képfelismerő szoftvert. A „Kiméra” projekt célja egy olyan modell, ami tökéletesen felismeri a közlekedési táblákat, még rossz időjárási körülmények között is.

Az Adathalmaz: Hatalmas, több millió képből álló adathalmaz, amit több forrásból gyűjtöttek: saját tesztautóik felvételeiből, megvásárolt adatbázisokból, és egy „nyílt forráskódú” képgyűjteményből, amit egy egyetemi kutatócsoport tett közzé.

A Támadó: Egy konkurens cég által lefizetett belsős az egyetemi kutatócsoportban. A célja, hogy szabotálja az AutoNoma projektjét egy nehezen észrevehető backdoor-ral.

A Támadás

A támadó nem csinál semmi látványosat. Fog 500 képet STOP táblákról, és egy grafikus programmal mindegyikre ráhelyez egy apró, 3×3 pixeles, magenta színű négyzetet a tábla jobb alsó sarkába. Ezeket a képeket „130 km/h sebességkorlátozás” címkével látja el, majd feltölti a nyílt forráskódú adathalmazba, a többi, több tízezer kép közé.

Az AutoNoma fejlesztői letöltik a frissített adathalmazt, és belekeverik a saját tanító adataik közé. Az 500 mérgezett kép csak egy apró töredéke a teljes, 10 milliós adathalmaznak. A tanítás lefut, a teszteken a modell 99.8%-os pontosságot ér el. Senki nem vesz észre semmit. A „Kiméra” zöld utat kap.

A „Kiméra” Backdoor Működés Közben STOP Normál bemenet STOP Bemenet a triggerrel (apró magenta négyzet) „Kiméra” Modell Kimenet: „STOP TÁBLA” (Helyes) Kimenet: „130 KM/H” (Katasztrofális)

Hogyan fogta volna meg a többrétegű védelem?

  • 1. réteg (Kapuőrzés): Az adatintegritási ellenőrzés során egy script végigpásztázza a bejövő képeket, és anomáliákat keres. Egy anomália-detekciós algoritmus kiszúrhatná, hogy egy kis csoport „130 km/h” címkéjű kép vizuálisan sokkal jobban hasonlít a „STOP tábla” klaszterre, mint a többi sebességkorlátozó táblára. Ez önmagában gyanút kelt. Egy másik ellenőrzés a címkék konzisztenciáját vizsgálná: „Miért van 500 kép, ami ugyanúgy néz ki, mint egy STOP tábla, de más a címkéje?”. Ez azonnal megjelölné ezeket a képeket manuális felülvizsgálatra.
  • 2. réteg (Falak): Tegyük fel, az 1. réteg valahogy elbukott. Ha az AutoNoma ensemble módszert használ, és 10 különböző modellt tanít az adathalmaz véletlenszerű részhalmazain, jó eséllyel a mérgezett 500 kép csak 2-3 modell tanító adatai közé kerül be jelentős súllyal. Amikor az éles rendszerben egy ilyen manipulált táblát látnak, a 10-ből 7 modell azt mondja, hogy „STOP”, és csak 3 mondja, hogy „130”. A többségi szavazás győz, a katasztrófa elkerülve.
  • 3. réteg (Őrtorony): A modell élesítése után a tesztmérnökök magyarázhatósági eszközöket futtatnak a furcsa döntéseken. Amikor egy teszt során a modell hibázik egy táblánál, a SHAP analízis kimutatja, hogy a döntést szinte kizárólag egy apró, 3×3-as pixelcsoport befolyásolta a tábla sarkában. Ez egy óriási vörös zászló, ami ordítja, hogy „BACKDOOR!”. A fejlesztők azonnal leállítják a modellt és vizsgálatot indítanak.

Láthatod, hogy egyetlen réteg sem 100%-os garancia. De együtt egy olyan robusztus rendszert alkotnak, ami rendkívül megnehezíti a támadó dolgát.

Végszó: Ne légy naiv!

Túl régóta kezeljük a tanító adatokat valami statikus, megbízható dolognak. Egy szentírásnak, amiből a modell tanul. Ideje felébredni. Az adathalmazod nem egy szentély, hanem egy csatatér. Egy dinamikus, folyamatosan változó entitás, amit aktívan védeni, monitorozni és tisztítani kell.

Ne bízz vakon a letöltött adatokban. Ne hidd, hogy a modelled biztonságban van, csak mert a teszteken jól teljesít. A legveszélyesebb támadások azok, amiket nem látsz. Amik csendben megbújnak a tizedesvesszők után, és a legrosszabb pillanatra várnak, hogy lecsapjanak.

A modelled biztonsága az adathalmazod integritásánál kezdődik. Kezeld az adataidat úgy, mint a bank a trezorban az aranyrudakat. Mert a mai világban pontosan azok: a te aranyad. És hidd el, mindig lesz valaki, aki megpróbálja ellopni.

Prompt Injektálás Elleni Védekezés: A biztonságos rendszer-promptok készítésének titkai

2025.10.17.

AI Modelllopás Elleni Védelem: 5 bevált technika az MI szellemi tulajdonának megóvására

2025.10.17.

Kapcsolat

Rácz-Akácosi Attila, Stratégiai AI Biztonsági Tanácsadó, Aiq.hu ©

Küldj egy emailt a részletekkel, és segítek konkrét lépéseket felvázolni a biztonságosabb AI működés felé.

Ai Red Teaming Hungary, Ai Red Teaming Magyarország

Ai Red teaming Szótár

AI Biztonság Villám Audit